体育运动有简单的排名方法，这让人们很容易理解和感受。一个人只需要在每周任何一天去浏览体育版，就可以看到洋基队是否排名第一、弗洛里达在大学橄榄球队是否在25强中领先，Peyton Manning的达阵传球是否在整个联盟中位居榜首。

　　不幸的是，信息安全职业的排名不像体育这么简单。现在，有超过65000个拥有CISSP认证的职业人员，即便是把这65000个人的简历摆在你面前，你也不可能看出谁是第一名，谁又是第46738名。也没有办法得知哪个渗透试验人员上个月里对程序改善的次数最多。

　　但是，当谈到找工作或者晋升的时候，这些却是公司经理们关注的亮点。所以，在缺少明确的排名系统的情况下，信息安全工作人员必须想办法让自己与众不同。这就是要创造个人品牌。

　　创造个人品牌的一个问题是我们每个人都有为人所知的特点，不管我们是否有意的去刻画它们。稍等一下，让我们看看下面的这些人以什么著称：

•  HD Moore
•  Bruce Schneier
•  Dan Kaminsky
•  Kevin Mitnick

　　每个人都有自己的长处，或者擅长攻击，或者擅长网络犯罪调查，或者擅长社会工程入侵或者只是一个普通的安全管理领导者。在大多数情况下，他们努力让人们知道自己在这个方面在行，这样当别人寻找特定的技术人群时，首先想到的就是他们的名字。举个例子，如果一个人想聘用一个社会工程师，那么毫无疑问他会考虑Kevin Mitnick这个人。这就是个人品牌的优势。

　　你的个人品牌需要三个组成部分：你的经验/证书，你在公众面前的表现和你的人际关系。在这三个因素中，绝大多数安全从业人员往往注重第一点，而忽略了第二点和第三点。

　　经验和证书

　　所有的安全职业人员都知道证书是必要的。这也是信息安全认证行业非常繁荣的原因。很多信息安全人员花费大量的时间学习技术，参加培训课程和工作实践，以此来确保他们的简历可以说明他们是多么的合格。

　　不幸的是，简历只是求职者对自己技术的一个描述。为了让别人知道你擅长什么，你不能只是嘴上说说——你必须证明才行。很多安全职业人员希望认证可以说明他们的竞争能力（事实上，这也是认证企业在市场营销时灌输给我们的说法）。由于绝大多数人都是通过实际经验来提高自己的，一个信息安全专业人员不会只拥有一个CISSP认证或者一个CEH认证或者SANS认证而不注重经验的积累。

　　向人们展示你的安全技能，并扩大你的人际关系

　　因此，创造个人品牌的第二步是展示你的技术。对于这个行业的来说，有很多方法向公众展示你的能力，比如在会议上演讲或者写论文、文章或者博客。我们都认识那些总是在会议上演讲的人（实际上，上面提到的那些职业人员也都是通过这个方法建立他们的个人品牌的）。

　　然而，并非每个人都是伟大的作者或者演讲家，特别是在安全和技术行业。因此这样建立个人品牌的方式让那些不喜欢抛头露面的人们或者不喜欢写长篇大论的人被大众忽视、冷落。但是也有其他的方法让他们脱颖而出。

　　我们都认识某个人虽然技术非常高超，但是他的写作和说话能力却并不怎么好。那么他们是怎么向人们展示他们的技术呢？他们经常帮助别人解决问题，或者给别人提供私人建议。或者他们在你所关心的问题上提出了一个聪明的解决办法。

　　让行业内的人认识你——这是最有效的建立个人品牌的另一种办法。这个办法包括多种方式：参加当地的会议（比如，ISSA会议、CitySec会议），参加论坛讨论（像Ethical Hacker Network）、安全驱动论坛或者IT信息交换安全区的讨论，或者花时间在社交网络（像Twitter, LinkedIn 或者 Facebook）中跟其他的安全人员交流（注意：看看上个月的专栏，学习一些使用社交网络建立自己的事业的方法）。

　　当谈到品牌建立时，建立一个同行业内的并且有相似或者互补技能的人源关系网络是非常重要的。如果你的目标是做一个渗透测试人员，那么请花时间跟最好的渗透测试人员交流并经常跟他们混在一起，这样可以使你效率更高。

　　花时间跟擅长你所擅长的技术的人们在一起，重点是想说明这样一个概念：当人们选择一个品牌效应时，争取让他们知道你是这个方面的行家。前面我们已经对此给出了建议：他们每个人都各自擅长一个方面，Mitnick是一个社会工程师，Kaminsky是一个网络（或者DNS）黑客，Schneier是一个安全达人。

　　至于你想在什么团体转悠，你必须决定你属于哪个团体。这能让你有效地建立个人品牌。

　　虽然我们没有“25强”这样的排名，但是我们的行业按照同样的原则在运行。如果一个管理者正在寻找一个能力很强的安全工作人员，他们会去咨询那些著名的安全专家。这时，品牌效应就显现出来了。当然，你需要时间来提高和琢磨你的技术能力。但是，除此之外，你还需要把这些能力展示给别人，并花时间跟那些知名的拥有这些技术的人在一起。